Найти строковый пакет в расшифрованных данных с помощью wireshark / tshark

423
crato

Я анализирую захват зашифрованного трафика с Wireshark. Я расшифровал трафик с помощью правильной ключевой фразы в Wireshark, и я могу видеть расшифрованные данные каждого кадра.

Дело в том, что если я ищу пакет с определенной строкой, я не могу его найти. Хотя у меня есть уверенность, что строка расшифрована, учитывая, что я могу видеть такие данные в дешифрованных данных кадра.

Я уже пытался искать в байтах / списке / подробностях пакета с опцией строки, и я также искал по hexvalue без успеха.

Мне пришло в голову обходное решение, которое заключается в использовании tshark для расшифровки трафика и создания hexdump в текстовый файл. После этого используйте grep, чтобы найти строку. Однако это не очень хороший подход.

Как бы вы нашли строку с wireshark на расшифрованном захвате трафика?

0
Можете ли вы рассказать подробнее, почему обычная функция поиска не работает? Mike Ounsworth 6 лет назад 1
Это не секретный вопрос. Похоже, это вопрос использования Wireshark. schroeder 6 лет назад 0
Похоже, что он ищет только зашифрованные данные, хотя данные отображаются в обоих направлениях (зашифрованные и дешифрованные). Например, я могу найти строки или шестнадцатеричные значения, которые доступны в зашифрованных данных. crato 6 лет назад 0
Согласно тому, что вы говорите, это может быть ошибкой. Подходящее место, чтобы задать вопрос на [форумах wireshark] (https://ask.wireshark.org/questions/). harrymc 6 лет назад 0

1 ответ на вопрос

0
Christopher Maynard

Функция поиска работает только на вскрытых полях, а дешифрованные данные, если они не будут переданы анализатору для интерпретации, не будут иметь вскрытых полей. Таким образом, вы можете написать диссектор для расшифрованных данных или, по крайней мере, иметь возможность использовать фильтр отображения, например, data contains "some string"для поиска пакетов, содержащих интересующую вас строку.

Похожие вопросы